LINUX.ORG.RU
ФорумTalks

Европа, безопасный софт и опенсорс

 , , какчество,


0

2

Не знаю, обсудили это на ЛОР уже или нет, но я только что узнал, что европейские законодатели решили сделать софт более безопасным по закону, введя требования к производителям софта по типу существующей маркировки CE для аппаратуры, но для софта, Чтобы призвoдитель сам удостоверился, что его продукт типа безопасен с т.з. программных уязвимостей и соблюдения приватности. Достигаться это должно при помощи всяких мер типа security by design и проч. А за небезопасный софт могут нехило штрафануть, в зависимости от того, какими суммами контора разработчика воротит, до 15млн евро или 2.5% годового оборота.

Называется оно Cyber Resilience Act.

Прикол в том, что сразу возбудились конторы OSI, PSF (питон), EclipseFoundation и проч., что якобы в текущей формулировке, даже несмотря на то, что опенсорс, вроде как исключен, документ так составлен, что можно привлечь опенсорс организации за баги в их продуктах. Т.е. вот есть например большой и толстый коммерческий проект, и в нем используется какая-то библиотека из PyPI, и с очередным апдейтом проприетарного софта тянется новая версия этой библиотеки, и если в этой новой версии есть новая уязвимость, то PSF якобы можно привлечь к ответственности за эту уязвимость. Даже несмотря на то, что разрабы той питоньей библиотеки не получают ни копейки от производителя коммерческого софта, и вообще никак не связаны с процессом разработки оного.

https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/

А вы как относитесь к обеспечению безопасности кода по закону? Что, если пойти еще дальше, и автоматом вычитать из зарплаты программиста эти 2.5% («ведь GPT бы без ошибки написал»), или расширить штраф до тюремного срока? Ведь могут быть очень серьезные катастрофы, с многочисленными жертвами. Почему маньяки-убийцы тянут длинные сроки, а разработчики убийственного софта гуляют на свободе?

★★★★★

Ведь могут быть очень серьезные катастрофы, с многочисленными жертвами

А можно реальных примеров?

По теме - против. Безопасность это вообще иллюзия. В итоге весь этот дроч на нее,который наблюдаем последние годы, не особо то и помог в борьбе со взломами,утечками и прочими майнерами, но зато добавило кучу дебильных ограничений,узаконенные массовые слежки и прочие прелести типа несъемных акков. И теперь мы выбираем устройства не столько по функционалу,сколько по тому,насколько там легко разблокировать загрузчик/выпилить бесячие фичи etc.

Dog ★★★
()
Ответ на: комментарий от vvn_black

Пока неизвестно. Но вот если например взять обновление виндоус, которое личные файлы пользователей уничтожило. Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли? А может еще и ссоры семейные разразились из-за этого, которые переросли в криминал, потому что супруги решили, что кто-то из них стер файл другого нарочно. А в суд они не подают из-за стереотипа, что вот софт глючит иногда, и это ОК и норма… Раньше вот насилие в отношение женщин гораздо реже выявлялось, и это считалось нормой в традиционном обществе.

seiken ★★★★★
() автор топика
Последнее исправление: seiken (всего исправлений: 1)
Ответ на: комментарий от seiken

Есть же отказ от ответственности, как и у любого инструмента. Если топорище у топора сломается и лезвие травму нанесёт, тот же самый случай - хочешь судись, но докажи, что и технику безопасности соблюдал и по назначению использовал и т.д.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)

Скорее всего такая же хрень как гдпр, прикроет чью-то жопу и будет кормить юристов.

ya-betmen ★★★★★
()
Ответ на: комментарий от vvn_black

докажи, что и технику безопасности соблюдал и по назначению использовал и т.д.

а в чем проблема воспроизвести порчу данных конкретным апдейтом? Так можно до того договориться, баги не надо исправлять, ведь ты попробуй докажи…

seiken ★★★★★
() автор топика

Это шум, и похоже, что первоапрельский. В реальном мире астразенека не отвечает за свою кривую вакцину, так уж он устроен.

Irma ★★
()
Ответ на: комментарий от Irma

В реальном мире астразенека не отвечает за свою кривую вакцину, так уж он устроен.

Там же уже было дофига исков от пострадавших, и я точно помню, что контора создала специальную комиссию, которая определяла, кому выплатят компенсацию. Понятно, что подавляющую часть пострадавших капиталист отфутболит, но сказать, что совсем не отвечает, нельзя.

seiken ★★★★★
() автор топика

Т.е. вот есть например большой и толстый коммерческий проект, и в нем используется какая-то библиотека из PyPI, и с очередным апдейтом проприетарного софта тянется новая версия этой библиотеки, и если в этой новой версии есть новая уязвимость, то PSF якобы можно привлечь к ответственности за эту уязвимость.

По идее в таком случае ответственность должна лежать на разработчиках проприетарного софта. Они могли проверить библиотеку перед обновлением, исправить код, выбрать другую библиотеку или написать своё.

X512 ★★★★★
()

Если это критически важный софт, то должен быть стандарт по отказоустойчивости и безопасности. Если это реклама над шаурмячной), то какая разгица на чем оно работает

pasha1112
()
Ответ на: комментарий от seiken

ковидобесие

AstraZeneca

капиталисты

Ага, А Нэнси Пелоси - талантливый трейдер.

KolyaKirgiz
()

Дык чо, переходим на военные компиляторы?

Irma ★★
()

А вы как относитесь к обеспечению безопасности кода по закону?

Как к бреду.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от seiken

Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли?

Ну так если не знаем, то может никто и не умер? Может наоборот, они осознали что Форточка зло, поставили Линукс и теперь радуются жизни?

По теме, пока читал думал что наконец начали переход на формальную верификацию софта, но ошибся.

mydibyje ★★★★
()

Вот бы кто ответил за кривой драйвер интела, который убивал экраны в ноутбуках линуксоидов.

Zadoff386
()
Ответ на: комментарий от novus

Хреновая история,не спорю,но это все-таки не катастрофа с массовыми жертвами. Чем там все закончилось кстати? Пострадавшим компенсировали?

Dog ★★★
()
Ответ на: комментарий от X512

По идее в таком случае ответственность должна лежать на разработчиках проприетарного софта. Они могли проверить библиотеку перед обновлением, исправить код, выбрать другую библиотеку или написать своё.

Да, и соотв. изменений формулировок и добиваются OSI и проч. опенсорс организации.

seiken ★★★★★
() автор топика
Ответ на: комментарий от pasha1112

Между рекламой над шаурмячной и критически важным софтом есть целый спектр ПО, большая часть всего ПО, где качество немаловажно.

seiken ★★★★★
() автор топика

Ахаха, всем инженерам необходимо делать свою работу качественно, к ним предъявляется куча требований, продукция сертифицируется. А у программиздов как всегда тяп ляп и готово. И тут им начинают предъявлять требования к качеству и у них закономерно подгорает. Любо-дорого смотреть.

Polugnom ★★★★★
()

как правило в лицензии либо в EULA либо в договоре пишется отказ от ответственности разработчиков, например MPL(https://www.mozilla.org/en-US/MPL/2.0/):

7. Limitation of Liability
Under no circumstances and under no legal theory, whether tort (including negligence), contract, or otherwise, shall any Contributor, or anyone who distributes Covered Software as permitted above, be liable to You for any direct, indirect, special, incidental, or consequential damages of any character including, without limitation, damages for lost profits, loss of goodwill, work stoppage, computer failure or malfunction, or any and all other commercial damages or losses, even if such party shall have been informed of the possibility of such damages. This limitation of liability shall not apply to liability for death or personal injury resulting from such party’s negligence to the extent applicable law prohibits such limitation. Some jurisdictions do not allow the exclusion or limitation of incidental or consequential damages, so this exclusion and limitation may not apply to You.

используя ПО, Вы автоматически принимаете условия лицензии/eula/etc

etwrq ★★★★★
()
Ответ на: комментарий от Polugnom

Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.

Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.

Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя.

Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.

Я тебя понимаю и даже согласен. Но, есть хотелки, а есть реальность. За безопасность кода отвечают тестировщики и пентестеры. А ответственны все, и кто создал и кто владеет и кто использует. Крайнего искать не надо, просто разная доля ответственности на каждом. И да хоть кто даёт гарантию безопастности на ПО я в жизни не видел такого, нигде.

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 4)

Почему маньяки-убийцы тянут длинные сроки, а разработчики убийственного софта гуляют на свободе?

По той же причине, по которой гуляют на свободе разработчики и изготовители ломающихся винтиков, выходящих из строя чипов и прочих вспомогательных изделий не стопроцентной надежности. За безопасность конечного продукта для потребителя отвечают не они.

vaddd ★☆
()
Ответ на: комментарий от Polugnom

И тут им начинают предъявлять требования к качеству и у них закономерно подгорает. Любо-дорого смотреть.

Будет любо-дорого смотреть, как цена на следующую версию продукта (супер безопасного) возрастет вдвое, и у покупателей от этого отвиснет челюсть :)

seiken ★★★★★
() автор топика
Ответ на: комментарий от vaddd

Так если обяжут то будет уже без разницы нужен тебе такой софт ли нет, его таким сделают и поднимут и цену и системные требования для работы ПО, всё имеет цену. Если коснётся СПО то некоторые проекты вовсе прекратят своё развитие и что-бы избежать проблем в будущем перелицензируют свои проекты с запретом на использование.

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от LINUX-ORG-RU

Никто же не требует выпускать вечные чипы, абсолютно безопасные шины и прочие субпродукты. С чего вдруг потребуют подобное от софта? Безопасность - это всегда компромисс, учитывающий пожелания рынка

vaddd ★☆
()
Ответ на: комментарий от vaddd

Ну надеемся что там им это объяснять, в целом на ЕС пофигу, но ведь если произойдёт и все другие тихонько подтянутся, пусть не сразу и не везде. Короче, надеюсь просто введут свод необходимых мероприятий «тоже шифрование пользовательских данных в общих сетях» и типа того, для коммерческого софта, без указаний расплывчатых понятий типа «общая безопасность» или подобного.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от seiken

Пока неизвестно

Ну пока можно тему закрыть тогда

Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли?

Причем здесь разработчик софта? Вот ты в метро кого-то толкнул, человек потом расстроенный ехал на личном авто домой и из-за невнимательности сбил пешехода, тебя в тюрьму? Что за тупняк отборный.

Gary ★★★★★
()

Куда государство ни сунет своё мурло, всё превращается в говно. Вот и до софта его поганые руки дошли.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Судя по ОП, в тексте есть упор на security by design. Этот термин всегда подразумевает соответствие здравому смыслу общего подхода к разработке и применению софта. И только потом идеальную вылизанность и отсутствие ошибок. Проблемы в софте не должны приводить к катастрофе (или утечке, или нарушению закона, итд), а обеспечить подобное совсем не так дорого, как сделать безошибочно.

vaddd ★☆
()
Последнее исправление: vaddd (всего исправлений: 1)
Ответ на: комментарий от vaddd

security by design

Да, но это может пойти в разрез с optimization by design.

К примеру Vulkan API под security by design уже не подпадает. Оно позволяет уронить графику by design. Продолжать примеры можно ещё раз тысячу наварное. Разные уровни ПО требуют разного подхода, для некоторых уровней security by design неприменимо на уровне физических законов природы.

Хотя возможно речь только про клиентское ПО. Да и там не всё так однозначно. Ой короче я пошёл :D

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 2)

Ну писец мне, мне за ноду платят, а там из нпм натянуто всякое. И кстати, не всегда свежее

DumLemming ★★★
()
Ответ на: комментарий от Irma

Она отвечает перед кем надо. Я вот от привитых блюпуп ловлю

DumLemming ★★★
()
Ответ на: комментарий от Polugnom

Есть такие особи - релиз манагеры называются. Они иногда блондинки, иногда даже с сиськами. Платят им так, как будто они каждый релиз через дебри сертификации проводят. Ну, тоесть, хотели как лучше, были намерения

DumLemming ★★★
()
Ответ на: комментарий от Dog

И теперь мы выбираем устройства не столько по функционалу,сколько по тому,насколько там легко разблокировать загрузчик/выпилить бесячие фичи etc.

Так это всегда так было. Функционал в аналогичной ценовой категории примерно одинаков. Разве нет?

VIT
()
Ответ на: комментарий от Dog

Я просто сказал, что всегда так было. Ничего не меняется «раньше» и «теперь».

VIT
()

Достигаться это должно при помощи всяких мер типа security by design и проч

Linux перепишут на rust?

ratvier ★★
()

европейские законодатели

Еще пару законопроектов и разрешат использовать лишь Rust.

Forum0888
()

Почему маньяки-убийцы тянут длинные сроки, а разработчики убийственного софта гуляют на свободе?

К разработке софта, который может приводить к катастрофам с жертвами, предъявляются особые требования. И там все бол-мен нормально получается. А разрабатывать с теми же требованиями пасьянс косынку или очередной текстовый редактор не имеет никакого смысла.

AntonI ★★★★★
()
Ответ на: комментарий от Polugnom

Ахаха, всем инженерам необходимо делать свою работу качественно, к ним предъявляется куча требований, продукция сертифицируется.

Ну вот в рамках конкретных программно-аппаратных комплексов софт и должен проходить сертификацию, разрабатываться в соответствии с определенными стандартами и регламентами, и тд — в зависимости от назначения комплекса, потенциальной опасности для общества, пожеланий и бюджетов покупателя комплекса, и тд.

Пытаться установить единые абстрактные требования для вообще всего софта - это неадекватный бред. Так же не существует единых требований к абстрактно любым промышленным изделиям: на многих продающихся в магазине товарах ты можешь прочитать фразу «не требует обязательной сертификации».

То есть требования-то конечно установить можно, но это просто усложнит жизнь в тех странах, где люди будут вынуждены эти законы соблюдать. Очередной гирей повиснет на экономике.

Manhunt ★★★★★
()

прозреваю, что будут заставлять писать на расте. https://rosenpass.eu/ - вот образцовый проект, например. Крайне безопасно, сделано на грант евробюрократов. Просто идеально.

Lrrr ★★★★★
()
Ответ на: комментарий от seiken

Будет любо-дорого смотреть, как цена на следующую версию продукта (супер безопасного) возрастет вдвое, и у покупателей от этого отвиснет челюсть :)

И в нем один хрен будут тучи багов, потому что можно приказать высечь море, но нельзя таким образом заставить его отступить %)

Nervous ★★★★★
()

Я говорил и повторю: моя мечта - это дожить до времен, когда за слово «безопасность» каждого wannabe-контролёра будут сразу, громко хохоча, бить по лицу доской с гвоздями и пинками вышвыривать на мороз.

thesis ★★★★★
()
Ответ на: комментарий от ratvier

там разработчики шифтуют ответственность на пользователей в контексте локальных законов применимых к пользователям.
вилка - пользователю отвечать по закону либо не использовать ПО.

etwrq ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)